Source et contexte: Sekoia.io publie une analyse TDR d’une campagne active depuis au moins avril 2025, identifiée comme « I Paid Twice », visant les établissements hôteliers et leurs clients via des compromissions de comptes Booking.com et des leurres de paiement.

🔎 Vecteur initial et infrastructure: Des emails malveillants provenant d’adresses compromises (parfois usurpant Booking.com) redirigent vers une chaîne de pages et scripts JavaScript menant à la tactique de social engineering « ClickFix ». Un service de redirection type TDS masque l’infrastructure et résiste aux takedowns. Les pages imitent l’extranet Booking (motifs d’URL admin/extranet) et poussent l’utilisateur à copier/exec un one‑liner PowerShell.

🧩 Chaîne d’infection et charge utile: Le PowerShell récupère un ZIP (hébergé sur site légitime compromis), déploie un .exe et des .dll, met en place une persistance (clé Run et LNK Startup), puis effectue un side‑loading DLL. Un loader .NET (type QuirkyLoader‑like) réalise un chargement réflexif en mémoire de PureRAT via AddInProcess32.exe. PureRAT communique en TCP/TLS (ports 56001–56003), exfiltre des informations système et peut charger des plugins (contrôle à distance, exécution, vol de données). Les opérateurs rapportent chaque étape au C2 et emploient .NET Reactor pour l’obfuscation.

🛑 Fraude côté clients et écosystème criminel: Une fois les comptes pro compromis, des messages (email/WhatsApp) embarquant de vraies données de réservation dirigent les clients vers des pages de phishing imitant Booking.com ou Expedia afin de « vérifier » leurs cartes. Les pages (protégées par Cloudflare Turnstile) pointent vers une IP en Russie (AS216341/OPTIMA LLC), assimilée à un BulletProof Hoster. L’écosystème associé inclut vente/achat de logs (cookies/identifiants extranet), services de « traffers » pour la diffusion, checkers de logs Booking.com, et élargissement vers Expedia, Airbnb et Agoda.

🧪 Détections et TTPs observés: Détections SOC centrées sur PowerShell (download/exec, création de clé Run), ajout de LNK en Startup (chasse recommandée), et corrélations anormales impliquant AddInProcess32 (parent anormal, connexions réseau, accès magasin de certificats). TTPs clés: spearphishing ciblant hôtels, TDS de redirection, tactique ClickFix (copier/colle PowerShell), exécution PowerShell, persistance Run+LNK, DLL side‑loading, chargement en mémoire, C2 TLS, hameçonnage bancaire des clients, exploitation de BPH et market de logs.

IOC et artefacts notables:

  • Redirect/TDS (exemples): hxxps[://]headkickscountry[.]com/lz1y, hxxps[://]activatecapagm[.]com/j8r3, hxxps[://]homelycareinc[.]com/po7r, hxxps[://]byliljedahl[.]com/8anf
  • ClickFix PowerShell et payload: hxxps[://]ctrlcapaserc[.]com/bomla, hxxps[://]bknqsercise[.]com/bomla, hxxps[://]bkngssercise[.]com/bomla; archives: updserc.zip, upseisser.zip
  • Staging/C2 et indicateurs: hxxps[://]ctrlcapaserc[.]com/loggqibkng, hxxps[://]bqknsieasrs[.]com/loggqibkng, domaine: sqwqwasresbkng[.]com; IP: 85.208.84[.]94:56001, 77.83.207[.]106:56001; SHA256: 703355e8e93f30df19f7f7b8800bd623f1aee1f020c43a4a1e11e121c53b5dd1, 5301f5a3fb8649edb0a5768661d197f872d40cfe7b8252d482827ea27077c1ec, 64838e0a3e2711b62c4f0d2db5a26396ac7964e31500dbb8e8b1049495b5d1f3
  • Phishing clients (exemples): hxxps[://]confirmation887-booking[.]com/17149438, hxxps[://]verifyguest02667-booking[.]com/17149438, hxxps[://]verifycard45625-expedia[.]com/67764524

Conclusion: Article de type analyse de menace détaillant une campagne persistante d’hameçonnage et d’accès initial par ClickFix aboutissant au déploiement de PureRAT, puis à une fraude bancaire à grande échelle contre les clients de plateformes de réservation.

🧠 TTPs et IOCs détectés

TTP

spearphishing ciblant hôtels, TDS de redirection, tactique ClickFix (copier/colle PowerShell), exécution PowerShell, persistance Run+LNK, DLL side-loading, chargement en mémoire, C2 TLS, hameçonnage bancaire des clients, exploitation de BulletProof Hosting et market de logs

IOC

{‘domains’: [‘headkickscountry.com’, ‘activatecapagm.com’, ‘homelycareinc.com’, ‘byliljedahl.com’, ‘ctrlcapaserc.com’, ‘bknqsercise.com’, ‘bkngssercise.com’, ‘sqwqwasresbkng.com’, ‘confirmation887-booking.com’, ‘verifyguest02667-booking.com’, ‘verifycard45625-expedia.com’], ‘ips’: [‘85.208.84.94’, ‘77.83.207.106’], ‘hashes’: [‘703355e8e93f30df19f7f7b8800bd623f1aee1f020c43a4a1e11e121c53b5dd1’, ‘5301f5a3fb8649edb0a5768661d197f872d40cfe7b8252d482827ea27077c1ec’, ‘64838e0a3e2711b62c4f0d2db5a26396ac7964e31500dbb8e8b1049495b5d1f3’]}

🔗 Source originale : https://blog.sekoia.io/phishing-campaigns-i-paid-twice-targeting-booking-com-hotels-and-customers/